Care este modelul de responsabilitate partajată în cloud computing?

Modelul de responsabilitate partajată conturează obligațiile de securitate prin specificarea drepturilor și responsabilităților atât ale furnizorului de servicii cloud, cât și ale clientului. În esență, clarifică cine este responsabil pentru fiecare aspect al securității pentru a asigura o protecție eficientă a mediului cloud. Specificul acestei diviziuni diferă puțin în funcție de modelul de serviciu (SaaS, PaaS, IaaS).

Diferențele dintre cele trei modele includ:

• SaaS (Software-as-a-Service): Furnizorul se ocupă de infrastructura de bază, aplicația și datele, în timp ce clientul este responsabil de accesul utilizatorilor și clasificarea datelor.
• PaaS (Platform-as-a-Service): The provider is responsible for the supporting system, including Web service, operative system, etc., while the customer is responsible for all applications and data.
• IaaS (Infrastructure-as-a-Service): The provider controls the physical layer while the customer controls applications, operating systems, and data.

Here are the detailed responsibilities of SaaS providers:

• Physical security: Protect data centers and hardware.
• Network security: Protection against the threats posed by unauthorized access or cyber-attacks.
• Application security: Actualizarea software-ului pentru a remedia slăbiciunile de securitate sau erorile pentru a preveni încălcările
• Data security: Criptarea datelor atât în momentul stocării, cât și în timpul transmiterii și asigurarea existenței unor copii de rezervă sau a recuperării în caz de dezastru.
• Securitatea operațională: Detectarea amenințărilor și răspunsul la incidentele de securitate.

Clientul SaaS ar trebui să ia în considerare:

• Securitatea dispozitivului: Protejarea dispozitivului care este utilizat pentru accesarea aplicației SaaS.
• Gestionarea accesului: Gestionarea limitărilor de drept ale utilizatorilor și a capacității lor de a accesa o aplicație, procedurile de verificare a identității lor și autorizarea de a accesa aplicația.
• Instruire de conștientizare a securității: Instruirea angajaților cu privire la măsurile de securitate și riscurile de phishing.
• Clasificarea datelor: Identificarea datelor sensibile și implementarea măsurilor de protecție.
• Răspuns la incident: A avea un plan de urgență cu privire la modul în care pot fi gestionate amenințările la adresa securității.

Organizațiile și furnizorii de Software as a Service ar trebui să:

1. Revizuiți în mod regulat furnizorul SaaS documentația și certificările de securitate: Aflați despre practicile lor de securitate și asigurați-vă că acestea îndeplinesc standardele organizației dvs.
2. Stabiliți canale clare de comunicare: Mențineți o comunicare clară cu furnizorul dvs. SaaS pentru a discuta despre problemele de securitate, a raporta orice probleme și a rămâne la curent cu modificările de securitate.
3. Participați la programe de conștientizare a securității: Encourage your employees to take security training that is provided by the SaaS provider.
4. Efectuați evaluări comune de securitate: Colaborați pentru a identifica și reduce riscurile din mediul partajat.
5. Stabiliți un acord privind nivelul serviciului (SLA): Stabiliți cerințele și obligațiile de securitate într-un document contractual semnat de ambele părți.